Baymax toOls v1.7 for x64dbg 特征码提取&搜索(2022.06.26更新)
本帖最后由 Nisy 于 2022-11-9 11:19 编辑插件介绍:
BaymaxTools 是 x64dbg 调试器的一款特征码提取和搜索插件。主要功能有:
1. 可根据用户设置解析汇编指令并提取特征码;
2. 可对进程内存快速搜索特征码条目(是普通内存搜索工具速度的6~10倍);
3. 可更好的解析调试进程内存空间(效果要好于x64dbg),可按类型更方便的进行内存检索。
使用说明:
将 x32\plugins 目录下的文件复制到 x64Dbg\x32\plugins 目录。
将 x64\plugins 目录下的文件复制到 x64Dbg\x64\plugins 目录。
使用方法:
在反汇编窗口选中多行汇编,右键菜单使用 Baymax ToOls 即可复制特征码或搜索特征码。
00007FFB55651325| 0F84 93000000 | je ntdll.7FFB556513BE |
00007FFB5565132B| CC | int3 |
00007FFB5565132C| E9 8D000000 | jmp ntdll.7FFB556513BE |
00007FFB55651331| 48:8B4424 40 | mov rax,qword ptr ss: |
00007FFB55651336| 44:0970 68 | or dword ptr ds:,r14d |
00007FFB5565133A| 48:8B4424 40 | mov rax,qword ptr ss: |
00007FFB5565133F| 48:8B48 30 | mov rcx,qword ptr ds: |
00007FFB55651343| 48:890D 4E400900 | mov qword ptr ds:,rcx |
00007FFB5565134A| E8 D17AF9FF | call ntdll.7FFB555E8E20 |
原始的HEX指令:0F 84 93 00 00 00 CC E9 8D 00 00 00 48 8B 44 24 40 44 09 70 68 48 8B 44 24 40 48 8B 48 30 48 89 0D 4E 40 09 00 E8 D1 7A F9 FF
复制的特征码:0F 84 ?? ?? ?? ?? CC E9 ?? ?? ?? ?? 48 8B 44 24 40 44 09 70 ?? 48 8B 44 24 40 48 8B 48 ?? 48 89 0D ?? ?? ?? ?? E8 ?? ?? ?? ??
BTW:
可以在设置选项中勾选需要替换的类型,一般默认选项即可满足。
若复制的特征码在当前模块不唯一,您将看到弹窗提示。
下载地址:
https://github.com/sicaril/BaymaxTools/releases // 喜欢该插件的话记得点亮星星哦
更新记录:
Baymax toOls for x64dbg v1.7 (0626)
1. 优化了搜索算法,搜索速度有明显提升
2. 支持热键唤起搜索框,默认Ctrl+Shift+S,调试状态下唤出搜索框
3. 可展示进程私有内存的列表,支持对列表所有区段搜索
4. 优化了进程内存堆、栈等私有内存的解析算法
5. 优化了 Shadow Module 的判断逻辑
6. UI和内部功能的优化调整
Baymax toOls for x64dbg v1.7 (0626)
1. 优化了搜索算法,搜索速度有明显提升
2. 支持热键唤起搜索框,默认Ctrl+Shift+S,调试状态下唤出搜索框
3. 可展示进程私有内存的列表,支持对列表所有区段搜索
4. 优化了进程内存堆、栈等私有内存的解析算法
5. 优化了 Shadow Module 的判断逻辑
6. UI和内部功能的优化调整
请教楼主,新版本的x64dbg没有内存右键的copy data了,以前可以方便转成C样式四字之类的格式。新版放到哪里了呢?谢谢!
原创辛苦 板凳支持 感谢分享,好工具 感谢分享,好东西 支持x64dbg插件,现在已经几乎不用OD了 好插件,谢谢分享 试了一下,搜索是复制当前选中的代码,搜索按钮好像不起作用 谢谢分享 学习了,感谢分享!{:1_921:}